Nacionalni institut za standarde i tehnologiju (NIST) objavio je da će sve CVE ranjivosti objavljene prije 1. januara 2018. godine biti označene kao “odložene” u Nacionalnoj bazi ranjivosti (NVD).
To znači da, s obzirom na to da su CVE-ovi stari, NIST više neće davati prioritet dodatnoj obradi niti početnoj obradi podataka za te ranjivosti, osim ako trenutno ili ranije nisu bile uključene u katalog poznatih eksploatisanih ranjivosti (Known Exploited Vulnerabilities – KEV) američke agencije CISA.
„CVE-ovi označeni kao ‘odloženi’ prikazivaće natpis na svojim stranicama sa detaljima, koji će ukazivati na ovaj status. Ova promjena će se implementirati tokom nekoliko noći. Radimo ovo kako bismo pružili dodatnu jasnoću oko toga koji zapisi o ranjivostima imaju prioritet“, saopštio je NIST.
„Nastavićemo da prihvatamo i razmatramo zahtjeve za ažuriranjem metapodataka koji se odnose na ove CVE zapise. Ako bilo koja nova informacija jasno ukaže da je ažuriranje podataka o obradi opravdano, nastavićemo da dajemo prioritet tim zahtjevima u skladu s raspoloživim vremenom i resursima“, dodao je NIST.
Ubrzo nakon objave, broj CVE zapisa označenih kao odloženi skočio je na 20.000. Ukupan broj, međutim, mogao bi uskoro dostići i 100.000: kako je ukazao istraživač ranjivosti Patrik Garetij, otprilike jedna trećina CVE-ova u NVD-u je starija od 2018. godine.
Ova promjena prioriteta nije iznenađujuća. Suočavajući se sa sve većim kašnjenjima u analizi ranjivosti, NIST već više od godinu dana traži načine da riješi zaostatak, uključujući i traženje pomoći sa strane.
Prije godinu dana, Institut je bio prilično uvjeren da će riješiti zaostatak do kraja fiskalne 2024. godine, ali u tome nije uspio, uglavnom zbog nemogućnosti efikasnog unosa i obrade podataka koje je primao.
„Kako bismo riješili ovaj problem, razvijamo nove sisteme koji će nam omogućiti da efikasnije obrađujemo dolazne ADP podatke“, saopštio je NIST u novembru.
Prošlog mjeseca, međutim, otkriveno je da je 32% povećanje prijava prošle godine dovelo do dodatnog zaostatka, te da su njihovi napori posustali. S obzirom na to da se očekuje dodatni rast prijava tokom ove godine, razmatra se uvođenje vještačke inteligencije i mašinskog učenja.
Izvor: SecurityWeek
